Member 13904037 Ответов: 2

Как исправить эту проблему C' / mysql

Эй - я хочу выбрать только ту строку, если Value = Fahrzeug.

Проблема: ничего не случилось 

MySqlConnection connection = new MySqlConnection("datasource=xxx.xxx.xxx;port=3306;username=xxx;password=xxx");
MySqlCommand command;
MySqlDataReader mdr;


connection.Open();
string selectQuery = "SELECT * FROM mysqlcshap.Alamierung WHERE Fahrzeug= '" + label2.Text + "'";
command = new MySqlCommand(selectQuery, connection);
mdr = command.ExecuteReader();
if (mdr.Read())
{

    label1.Text = "";
    label2.Text = mdr.GetString("Transportziel");
    label3.Text = mdr.GetString("Transportziel");
    label4.Text = mdr.GetString("Transportziel");
    label4.Text = mdr.GetString("Transportziel").ToString();

}
else
{
    label1.Text = label2.Text;
    label2.Text = "";
    label3.Text = "";
    label4.Text = "";
    label4.Text = "";




}


Что я уже пробовал:

Пытался все изменить.

Я думаю, что это проблема, но я не могу справиться с ней.


string selectQuery = "SELECT * FROM mysqlcshap.Alamierung WHERE Fahrzeug= '" + label2.Text + "'";

Richard MacCutchan

Что содержится в label2 до запуска этого кода? И почему вы устанавливаете метки 2,3 и 4 (дважды) на одни и те же значения?

2 Ответов

Рейтинг:
2

Patrice T

Цитата:
Проблема: ничего не случилось

Это нормально, если label2 имеют значение, которое ни с чем не совпадает.
Попробуйте с помощью:
string selectQuery = "SELECT * FROM mysqlcshap.Alamierung WHERE Fahrzeug= 'known value'";

или
string selectQuery = "SELECT * FROM mysqlcshap.Alamierung WHERE Fahrzeug= 'known beginning%'";



string selectQuery = "SELECT * FROM mysqlcshap.Alamierung WHERE Fahrzeug= '" + label2.Text + "'";

Не решение вашего вопроса, а еще одна проблема, которая у вас есть.
Никогда не создавайте SQL-запрос путем объединения строк. Рано или поздно вы сделаете это с помощью пользовательских вводов, и это откроет дверь к уязвимости под названием "SQL-инъекция", она опасна для вашей базы данных и подвержена ошибкам.
Одна кавычка в имени - и ваша программа выйдет из строя. Если пользователь вводит имя, например "Брайан О'Коннер", может привести к сбою вашего приложения, это уязвимость SQL-инъекции, и сбой-это наименьшая из проблем, вредоносный пользовательский ввод, и он продвигается к командам SQL со всеми учетными данными.
SQL-инъекция - Википедия[^]
SQL-инъекция[^]
Атаки SQL-инъекций на примере[^]
PHP: SQL-инъекция - руководство пользователя[^]
Шпаргалка по предотвращению инъекций SQL - OWASP[^]
Как я могу объяснить SQL-инъекцию без технического жаргона? - Обмен Стеками Информационной Безопасности[^]

Рейтинг:
1

OriginalGriff

Во-первых, не делай этого так. Никогда не объединяйте строки для построения команды SQL. Это оставляет вас широко открытыми для случайной или преднамеренной атаки SQL-инъекции, которая может уничтожить всю вашу базу данных. Вместо этого всегда используйте параметризованные запросы.

Когда вы объединяете строки, вы вызываете проблемы, потому что SQL получает такие команды, как:

SELECT * FROM MyTable WHERE StreetAddress = 'Baker's Wood'
Цитата, добавленная пользователем, завершает строку в том, что касается SQL, и вы получаете проблемы. Но могло быть и хуже. Если я приду и наберу вместо этого: "x';DROP TABLE MyTable;--", то SQL получит совсем другую команду:
SELECT * FROM MyTable WHERE StreetAddress = 'x';DROP TABLE MyTable;--'
Которые SQL видит как три отдельные команды:
SELECT * FROM MyTable WHERE StreetAddress = 'x';
Совершенно правильный выбор
DROP TABLE MyTable;
Вполне допустимая команда "удалить таблицу" 
--'
А все остальное-это комментарии.
Так оно и происходит: выбирает любые совпадающие строки, удаляет таблицу из базы данных и игнорирует все остальное.

Поэтому всегда используйте параметризованные запросы! Или будьте готовы часто восстанавливать свою БД из резервной копии. Вы ведь регулярно делаете резервные копии, не так ли?

Во-вторых, оператор equals требует точного совпадения с обеих сторон: поэтому, если ваш столбец Fahrzeug не содержит только те буквы, которые вы искали, вы не получите никаких результатов.
Поэтому начните с прямого просмотра своей базы данных и выясните, какие значения у вас есть в столбце Fahrzeug. Затем проверьте свою этикетку и убедитесь, что она содержит именно то, что вы думаете. Затем посмотрите, есть ли текст в вашей этикетке на самом деле.

Мы не можем сделать это для вас - у нас нет никакого доступа к вашей базе данных или к вашему лейблу!